[Tech] Stranezza su IPTables

[St0rM]

>>Del resto qualunque pacchetto di ritorno dopo un masquerade avrebbe un 
>>indirizzo esterno. Se per esempio mi connetto dalla macchina A ad un 
>>sito www, io apro da A una connessione alla macchina WWW, passando per 
>>GW che MASQUERA il pacchetto cambiandone l'indirizzo di provenienza. A 
>>quel punto il server WWW risponde mandando il pacchetto a GW che SA che 
>>su quella porta il pacchetto che torna va rimandato ad A cambiandone la 
>>destinazione. Quest'ultimo pacchetto e' del tutto uguale a un pacchetto 
>>di richiesta di connessione che partisse eventualmente dal server WWW (o 
>>da qualcunque altro computer) diretto ad A se avesse GW come gateway, 
>>
> 
> Per niente. Il pacchetto che ritorna in risposta al masquerading ha
> per destinazione l'IP di GW (quello pubblico) e una porta di quelle
> assegnate al masquerading, e` il kernel, che conosce tutte le
> corrispondenze, che si preoccupa di far uscire il pacchetto
> sull'interfaccia privata verso A con l'IP di quest'ultimo e la porta
> da cui aveva ricevuto la richiesta. Un pacchetto indirizzato ad A
> direttamente da WWW avrebbe l'IP di A come destinazione gia` in
> partenza da WWW, e potrebbe arrivare a GW esclusivamente se WWW e`
> sulla stessa rete locale (se no il primo router lo piallerebbe via) e
> WWW ha messo GW come gateway per la classe di indirizzi di A, al che
> GW lo cassa lui stesso.

Ehm... E' esattamente quello che ho detto io... io mi riferivo 
all'indirizzo di partenza, non a quello di destinazione... E al fatto 
che, arrivati al momento di controllare le regole di FORWARD, un 
pacchetto che PARTA da un computer esterno per arrivare ad A, che sia o 
meno passato attraverso il DE-MASQUERAMENTO non e' possibile saperlo. E 
quindi non e' possibile filtrarlo in base a questo.